パブリックエンドポイントを使用して AWS Storage Gateway でゲートウェイをアクティブ化しようとしています。ただし、アクティブ化が失敗します。この問題を解決するには、どうすれば良いですか?
簡単な説明
パブリックエンドポイントを使用したゲートウェイのアクティブ化は、次の理由で失敗することがあります。
- ゲートウェイ VM が最小システム要件を満たしていない。
- ゲートウェイの仮想マシン (VM) が、ポート 443 のサービスエンドポイントに到達できない。
- ゲートウェイがポート 80 に到達できない。
解決方法
**注意:**ゲートウェイ VM または Amazon Elastic Compute Cloud (Amazon EC2) 上のゲートウェイインスタンスがすでにアクティブ化されている場合、アクティブ化に失敗することがあります。アクティブ化が完了すると、ゲートウェイはポート 80 でのリスニングを停止するため、エンドポイントと通信できなくなります。トラブルシューティングを開始する前に、ゲートウェイ VM またはインスタンスがアクティブ化されていないことを確認します。
オンプレミスでホストされているゲートウェイのトラブルシューティング
ゲートウェイ VM がハードウェアおよびストレージの最小要件を満たしていることを確認する
- ゲートウェイエンドポイントと通信するには、VM に最低 4 つの CPU と 16 GB のメモリが必要です。
- VM のルートディスクは 80 GB 以上である必要があります。
ストレージゲートウェイには、ゲートウェイのタイプに応じて、追加の要件と推奨事項があります。
ゲートウェイ VM がネットワーク要件を満たしていることを確認する
- ゲートウェイ VM は、ゲートウェイエンドポイントからアクティブ化リクエストを受信するために、TCP ポート 80 をリッスンする必要があります。
- ゲートウェイ VM は、AWS と通信するために、エンドポイント anon-cp.storagegateway.region.amazonaws.com 443 にアクセスできる必要があります。
- AWS へのアウトバウンドトラフィックのため、ファイアウォールとルーターは必要なサービスエンドポイントを許可する必要があります。
- ゲートウェイの VM が NTP 時間と同期できるように、ファイアウォールでポート 123 のトラフィックを許可する必要があります。
- ファイアウォールの DNS 解決で、ポート 53 のトラフィックを許可している必要があります。
すべてのゲートウェイは共通のポートセットを共有しますが、追加の要件はゲートウェイのタイプによって異なります。
さらに、ゲートウェイの VM と Storage Gateway サービスエンドポイントの間に SSL インスペクションやディープパケットインスペクションが行われていないことを確認します。ディープパケットインスペクションが実行中の場合、ファイルゲートウェイソフトウェアの接続が切断されます。これは、ソフトウェアがディープパケットインスペクションを中間者攻撃として処理するためです。
進行中のインスペクションを確認するには、ゲートウェイの VM と同じネットワークにある VM から OpenSSL コマンドを実行します。
openssl s_client -connect client-cp.storagegateway.us-east-1.amazonaws.com:443
ネットワーク接続をテストする
ゲートウェイの必要なエンドポイントへの接続は、次の方法でテストできます。
- ゲートウェイのローカル VM コンソールからネットワーク接続テストを実行します。
- ゲートウェイ仮想マシンと同じネットワーク内にある仮想マシンから telnet コマンドを実行します。
telnet anon-cp.storagegateway.region.amazonaws.com 443
Amazon EC2 でホストされているゲートウェイのトラブルシューティング
Amazon EC2 ゲートウェイインスタンスがハードウェアおよびストレージの最小要件を満たしていることを確認する
- ゲートウェイがゲートウェイエンドポイントと通信するには、インスタンスに 4 個以上の CPU と 16 GB のメモリが必要です。
- インスタンスのルートディスクは 80 GB 以上である必要があります。
**注意:**ゲートウェイに使用するインスタンスタイプのベストプラクティスは、m4.xlarge と m4.2xlarge です。
ストレージゲートウェイには、ゲートウェイのタイプに応じて、追加の要件と推奨事項があります。
ゲートウェイインスタンスが ネットワーク要件を満たしていることを確認する
- インスタンスのセキュリティグループは、TCP ポート 80 でクライアントまたはワークステーションの IP アドレスからのインバウンドトラフィックを許可する必要があります。
- インスタンスのセキュリティグループでは、TCP ポート 443、123、および 53 へのアウトバウンドトラフィックがサービスエンドポイントと通信できるようにする必要があります。
すべてのゲートウェイは共通のポートセットを共有しますが、追加の要件はゲートウェイのタイプによって異なります。
ネットワーク接続をテストする
- ゲートウェイのローカル VM コンソールからネットワーク接続テストを実行します。
- ゲートウェイインスタンスと同じネットワークまたはサブネットにある EC2 インスタンスから telnet コマンドを実行します。
telnet anon-cp.storagegateway.region.amazonaws.com 443